Archivo de la categoría: PCI DSS

Auditorias para entidades financieras en el marco de la PSD2


PSD2-FintechEl despliegue de nuevos sistemas financieros digitales amparados por la normativa PSD2 (Segunda Directiva de Pagos) deberá cumplir lo indicado en el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.

Su Artículo 3 establece:

Revisión de las medidas de seguridad

1. La aplicación de las medidas de seguridad a que se refiere el artículo 1 deberá documentarse, probarse periódicamente, evaluarse y auditarse de conformidad con el marco jurídico aplicable al proveedor de servicios de pago por auditores con experiencia en el ámbito de la seguridad y los pagos informáticos y funcionalmente independientes, ya pertenezcan al organigrama del propio proveedor de servicios de pago o sean externos a él.

2. El período entre las auditorías a que se refiere el apartado 1 se determinará teniendo en cuenta el correspondiente marco aplicable al proveedor de servicios de pago en materia de contabilidad y de auditoría legal.

No obstante, los proveedores de servicios de pago que se acojan a la exención a que se refiere el artículo 18 estarán sujetos, como mínimo con una periodicidad anual, a una auditoría de la metodología, el modelo y los índices de fraude notificados. El auditor que lleve a cabo dicha auditoría poseerá conocimientos técnicos en el ámbito de la seguridad y los pagos informáticos y será funcionalmente independiente, ya pertenezca al organigrama del propio proveedor de servicios de pago o sea externo a él. Durante el primer año de uso de la exención prevista en el artículo 18 y al menos cada tres años en lo sucesivo, o con mayor frecuencia si así lo solicita la autoridad competente, esta auditoría será llevada a cabo por un auditor externo cualificado e independiente.

tcab-logo-trust-conformity-assessment-body-bigTCAB es una entidad evaluadora de conformidad (en inglés, CAB, Conformity Assessment Body) que audita Prestadores de Servicios Electrónicos de Confianza en el marco del EIDAS y que cuenta con los profesionales adecuados especialistas en medios de pago idóneos para esa tarea. Contacte con TCAB (Trust Conformity Assessment Body) llamando al 91 388 0789

Ayer tuvo lugar el seminario “Últimos avances en Medios de Pago”


Ayer se llevó a cabo una nueva edición del seminario “Últimos avances en Medios de Pago” que concentra en un solo día la información más relevante sobre el funcionamiento de los sistemas de pago en España y en el mundo, tocando las siguientes  áreas de conocimiento:

  • Entidades financieras emisoras y adquirentes
  • Esquemas y Procesadores de Medios de Pago
  • Estructura internacional las redes de pagos
  • Procesamiento de pagos con tarjeta y transacciones en cajeros
  • Pago a distancia
  • Refuerzo electrónico de seguridad en pago presencial
  • Firma electrónica
  • Comercio electrónico
  • Pago móvil
  • NFC
  • Identificación de incumbentes y nuevos players en el sector de medios de pago

Interesantes los comentarios de los asistentes, que vienen frecuentemente con retos relevantes para sus negocios, que en muchas ocasiones pueden encarrilar.

Por mi parte, reconozco que también aprendo de las cuestiones que se suscitan, dado el alto nivel de muchos de los asistentes.

Uno de los temas que se suscitaron fue la forma de conseguir la lista de entidades auditadas bajo las especificaciones PCI DSS. Aquí está la lista de VISA y aquí la de MasterCard.

Este seminario lo organizó Atenea Interactiva, y parece que va a organizar otro a principios de 2013. También está disponible en modalidad “in-company” y lo he impartido en esa modalidad para BBVA.

Otros seminarios que imparte Atenea son:

Intereconomía Conferencias y su seminario “Novedades en el mercado de medios de pago”


Prácticamente coincidiendo con el anuncio del seminario de Atenea Interactiva Ultimos avances de Medios de Pago se ha producido el del seminario Novedades en el mercado de Medios de Pago, de Intereconomía Conferencias.

Aunque los dos seminarios se celebrarán en fechas próximas, hay algunas diferencias de enfoque que permiten que un asistente a uno de ellos pueda tener interés en el otro.

El seminario de Intereconomía Conferencias convoca como ponentes a personas relevantes del mundo de los medios de pago que contarán qué actividades desarrollan las instituciones que representan y a qué estrategias obedecen:

D. Alberto Pérez Lafuente
Director de Proyectos de innovación
BANKINTER

Dña. Alicia Calvo
Directora de innovación
ORANGE

D. Luis Miegimolle
Responsable de Medios de Pago
DEUSTCHE BANK

D. Fernando Albert
Director Comercial España
VISA EUROPE

D. Jorge Moreno
Jefe de Producto, Crédito e Innovación para España y Portugal
MASTERCARD EUROPE

D. Ignasi Martín
Director de Área Banca Electrónica
CATALUNYA CAIXA

D. Eric Vernhes
Business Unit Director. Payment & Transport
OBERTHUR TECNOLOGIES IBERICA

D. Arturo Valdivieso
Director de Operaciones y Tecnología de Mastercard para España y Portugal
MASTERCARD EUROPE

Dña. María Lorenzo
Directora de Medios de Pago
BANCO POPULAR

Aunque no cabe duda del interés que despiertan los temas que tratarán, sus mensajes están dirigidos a especialistas del sector de medios de pago, por lo que se presuponen ciertos conocimientos previos.

Por ese motivo, quienes nos los tengan agradecerán el enfoque de recorrido temático planteado en el seminario de Atenea Interactiva, que impartiré yo mismo, aunque contaré con la introducción de Oski Goldfryd, Director de FinancialTech Magazine. El Seminario  Ultimos avances de Medios de Pago  no presupone conocimientos previos del sector, más allá de los que todos podemos tener como usuarios de tarjetas y cajeros y como compradores que pagan con tarjeta.

Quienes asistan la seminario de Intereconomía Conferencias todavía pueden completar la información que les falte asistiendo al seminario de Atenea Interactiva, ya que se celebra el 24 de noviembre de 2011, unos días después del anterior.

En cuanto a los precios, el de Intereconomía Conferencias cuesta 980,00 € + 18% IVA y el de Atenea Interactiva cuesta 450 € + 18% IVA

Chip-and-PIN in VISA USA relaxes PCI DSS requirements


Seen in SC Magazine

Author: Dan Kaplan

February 10, 2011

New Visa program could grow momentum for chip-and-PIN

A new Visa program that will exempt some European merchants from having to adhere to payment card security standards may spur the adoption of chip-and-PIN technology in the United States, according to a security analyst.

The program, announced Wednesday, 9-feb2011, eliminates the requirement for non-U.S. merchants to annually validate their compliance with the Payment Card Industry Data Security Standard (PCI DSS) if at least 75 percent of their Visa transactions originate from chip-enabled terminals.

The merchant would still be obligated to prove PCI compliance in relation to other transactions, such as MasterCard.

“I predicted this,” Avivah Litan, vice president and distinguished analyst at Gartner, told SCMagazineUS.com this week. “As payment card technology gets more secure, then there’s less of a need to secure the merchant sites. It’s redundant. Just secure the payment systems.”

To qualify, retailers must outfit their locations with terminals that accept “contact or dual contact and contactless” chips, according to Visa.

EMV, more commonly referred to as chip-and-PIN, is a payment technology largely used in the U.K., Spain, France, Germany  and in other european countries. It involves recognizing unique microchips embedded in credit and debit cards to validate that they are legitimate, and it has been credited with the declining fraud rates overseas.

Some firms in the United States, including mighty Walmartare exploring the benefits of the technology, which has been held up here largely because of costs and incentive.

But the new Visa program may encourage more U.S. merchants to swap out their existing card readers if that means they too would be able to avoid the cost of PCI compliance.

“This may push the U.S. into it,” Litan said. “Now it’s a business case for merchants to start taking chip cards. It’s a good incentive.”

In October, the PCI Security Security Standards Council, tasked with managing the PCI DSS, released aguidance document for those organizations considering migrating their terminals to EMV.

Of course, for EMV to become a reality in the United States, banks must be willing to issue new cards containing chips. Yet, according to Visa, new debit card regulations that would cap the amount that card issuers can charge merchants when cards are swiped may curtail’ banks interest  – even though financial institutions, not merchants, are typically the ones that must reimburse consumers for incidents of fraud.

A recent study from the Boston Consulting Group estimated that card issuers could be on the hook for $25 billion in annual costs due to these stricter regulations, known as the Durbin Amendment because it is principally sponsored by Democratic Sen. Richard Durbin of Illinois.

“With such a dramatic potential for revenue loss, financial institutions will likely curtail investments in future innovations,” said Bill Sheedy, Visa’s group executive for the Americas.

Doug Johson, vice president of risk management policy the American Bankers Association (ABA), an industry trade group, agreed with Sheedy’s assessment.

“It demonstrates once again the folly and unintended consquences to mandate price controls within any environment,” Johnson told SCMagazineUS.com on Thursday.

That is not to say, though, that the ABA is opposed to EMV, said Johnson, adding that the association supports the development of security technology and is closely monitoring retail adoption of chip-enabled terminals.

“It’s not under our control to force,” said Johnson, who predicted that market forces may “leapfrog” EMV altogether and embrace some other technology, such as a cell phone payment system.

Johnson said that while banks would stand to save on some fraud-related reimbursements if EMV were to gain steam, illegal activity would still persist.

“All we’re doing is moving the fraud to somewhere where EMV is not in place, and we still take the loss,” he said.

Custodia digital: la protección de la integridad


La protección de la integridad y de la autenticidad de la información es un elemento que poco a poco ha ido apareciendo como un concepto clave en el ámbito profesional de los directivos españoles. En este contexto aparecen términos como la protección de registros de auditoría (o logs) y la protección de su integridad.

Albalia Interactiva ha firmado un acuerdo como socio estratégico de Kinamik Data Integrity, empresa de software líder en el desarrollo de soluciones específicas para la protección de la integridad de la información en tiempo real. En el modelo de Albalia de Gestión de documentos electrónicos de carácter probatorio, una de las piezas claves es la firma electrónica y otra el sistema de custodia digital con metadatos. Hablaré en próximos artículos de las posibilidades de unir los dos conceptos, de su relación con la Ley 11/2007 y el cumplimiento de los recientemente publicados esquemas de Seguridad e Interoperabilidad, o el cumplimiento de la LOPD. En el artículo de hoy me centraré en las razones por las que es importante mantener registros de auditoría (o logs) correctamente protegidos, y que rol representa Kinamik para su correcta gestión.

Kinamik Data Integrity es una empresa de software especializada en la protección de la integridad de la información.

Han desarrollado una solución de software que recoge, asegura y centraliza en tiempo real los registros de auditoría (o logs) desde diversas fuentes. Al procesarlos les aplica un “sello digital” que permite evidenciar cualquier intento de manipulación, obteniendo por lo tanto pruebas irrefutables de su integridad. La solución de Kinamik, llamada Secure Audit Vault, aporta una serie de beneficios para las organizaciones, entre los que destacan la reducción de costes en procesos de auditoría (interna o externa), la gestión de pruebas electrónicas y/o procesos de investigación de informática forense. Asimismo, facilita el cumplimiento de leyes y estándares, como la Ley 11/2007, la LOPD, la norma utilizada en entornos de pago PCI-DSS o la norma ISO 27001, especialmente en lo que se relaciona con la prevención y detección de la manipulación de los registros electrónicos. Finalmente disuade el fraude, reduce el riesgo e impacto de la amenaza interna y sirve como soporte en procesos judiciales al aumentar el valor probatorio de los registros, dándoles una mayor validez legal y permitiendo su uso como prueba electrónica en caso de litigio.

Su principal diferencial respecto a otras tecnologías que intentan dar protección de la integridad (uso de autoridades de sellado de tiempo (TSA), dispositivos WORM (Write Once, Read Many), herramientas de gestión de eventos (SIM/SEM), hash simple, firma digital, etc) se centra en la capacidad de procesar y asegurar la información en tiempo real, aplicando un sello de inmutabilidad al mayor nivel de detalle. Cuando se desea proteger información en contextos de alto rendimiento, por ejemplo logs, las tecnologías existentes crean una ventana de oportunidad que permitiría que una manipulación de los ficheros no fuera detectada o, aún peor, podría dar una falsa sensación de seguridad. La existencia de esta ventana de oportunidad para la manipulación hace además que los ficheros pierdan valor probatorio, pues las organizaciones se encuentran con la imposibilidad de probar un negativo, es decir, probar que nadie ha hecho nada en los ficheros y que no han sido manipulados desde el momento de su creación.

Este hecho aparentemente trivial de demostrar la existencia en un momento dado y la integridad de un documento electrónico –por ejemplo con una firma digital– se transforma en imposible por los inmanejables costes computacionales que implicarían aplicar una firma por cada fracción de segundo, en forma constante. Este mismo contexto –alto rendimiento, aplicación de numerosas “sellos” por segundo, etc- hace impracticable el uso de los servicios de autoridades de sellado de tiempo (TSA), pues su carácter transaccional implica altísimos costes por el elevado número de transacciones a “sellar” y los altísimos niveles en el uso de recursos (en particular ancho de banda),

Las tres redes españolas de tarjetas de crédito premiadas internacionalmente


Noticia del 6 de mayo de 2009.

Las redes de tarjetas españolas ServiRed, Sistema 4B y Euro 6000 recibieron el premio a la “Mejor Iniciativa sobre Riesgo/Seguridad” durante la reunión de miembros que Visa Europe organiza cada dos años y cuya edición más reciente se acaba de celebrar en Berlín

Las tres redes de tarjetas españolas han trabajado en estrecha colaboración para crear el SNCP (Sistema Nacional de Cifrado de Pistas), una innovadora solución técnica que permite a los comercios acometer a la vez el cumplimiento con la normativa PCI DSS y a la migración a chip EMV, con el consiguiente ahorro de costes.

La implantación de los requisitos de seguridad PCI-DSS en toda la infraestructura de pagos con tarjeta (que tiene el objetivo de asegurar la confidencialidad de los datos y de protegerlos de cualquier manipulación fraudulenta) puede suponer un doble desafío: no sólo a nivel de las tres redes de tarjetas (ServiRed, Sistema 4B y Euro 6000) y los tres centros procesadores (SERMEPA, REDY y CECA) sino también para aquellos comercios que son propietarios de sus sistemas de aceptación de tarjetas, que gestionan su propios terminales punto de venta.

La solución SNCP permite la encriptación de los datos desde su captura en el PIN-pad del punto de venta hasta que éstos son recibidos por el adquirente o procesador, con lo cual se asegura la encriptación “extremo a extremo” de todos los datos sensibles de la tarjeta, a excepción de los dígitos del BIN, que indican el número de identificación del banco. El adquirente o procesador es el que se encarga de descifrar los datos con claves criptográficas custodiadas exclusivamente por el propio adquirente o procesador, que son desconocidas para el comercio. La mayoría de los grandes establecimientos han completado el proceso de certificación y ya están empezando a desplegar la SNCP en sus puntos de venta.

Los ganadores de los premios de Visa Europe han sido anunciados en la reunión de miembros “Insights 09” organizada por Visa Europe en Berlín a finales de abril. Distintos participantes en la industria de los medios de pago de toda Europa presentaron más de 130 candidaturas a los citados premios.

Los Premios que concede Visa Europe en cada edición a las entidades financieras miembro de la asociación, se organizan en siete diferentes categorías. Bancos y cajas compiten tanto con proyectos desarrollados para el sector de los sistemas de pago, como con proyectos de patrocinio y responsabilidad social corporativa.

Stanley Skoglund, Vice Presidente Senior de Cumplimento de Normativas de Visa Europe, señala “Desde el principio confiamos en esta iniciativa y hemos apoyado a las tres redes españolas con el objetivo de certificar la solución SNCP. Visa Europe y las tres redes españolas ha considerado siempre como una prioridad este tipo de soluciones técnicas con el fin de garantizar la seguridad de las transacciones de tarjetas para los comercios, los consumidores y las entidades financieras.”

Declaración de Luis Furnells , Consejero Delegado, ServiRed

“Estamos muy satisfechos tanto con el reconocimiento de Visa Europa a nuestro trabajo y a nuestro valor añadido, como con el apoyo recibido de Visa durante todo el desarrollo del proyecto. Los tres sistemas de pago españoles, reconociendo los retos específicos del mercado español, unimos fuerzas para ayudar al sector del comercio y desarrollar una solución técnica de encriptación “extremo a extremo” que permite, al mismo tiempo y con ahorros significativos: i) reducir el riesgo de compromiso de datos de tarjeta, en el caso de ataques informáticos a los sistemas y a las bases de datos de los comercios y ii) migrar a EMV la infraestructura de aceptación de tarjetas que es propiedad de dichos comercios.”

Declaración de Alfonso de la Viuda – Director General, Sistema 4B

“Este premio es el resultado de una cooperación muy exitosa de los Group Members españoles de Visa y un afán por mejorar la seguridad en nuestra industria, en un compromiso compartido con nuestras entidades miembro y sus clientes comerciantes”

Declaración de Santiago Ballesteros, Director General, Euro 6000

“Estoy encantado con el reconocimiento de Visa Europe a nuestra SNCP. Espero que Visa promueva la utilización de SNCP como estándar mundial de “cifrado de extremo a extremo” que resuelva definitivamente los riesgos de fraude por compromiso de datos de tarjetas.”

Referencia en Inglés

ServiRed, Sistema 4B and Euro 6000, Spain SNCP (standardised solution to cipher track data) programme

Objective

The Spanish PCI DSS implementation programme (whereby sensitive account data is protected from potential compromise) faced a range of challenges: not only does the market comprise of three card networks (ServiRed, Sistema 4B and Euro 6000) and three processing centres, but the larger merchants (who own their own EPOS systems) are simultaneously connected to all three processors. The successful implementation of PCI DSS would therefore have to be a closely co-ordinated, multi-party endeavour which took full account of many different stakeholders – including merchants, processors, and the entire vendor community.

Outcome

The three card networks worked closely together to create the SNCP programme – an innovative technical solution which enables large merchants to simultaneously undertake both PCI DSS compliance and EMV chip migration, with significant cost savings. It represents an end-to-end encryption solution that can be implemented whenever a systems change needs to be undertaken. Once deployed it means that all account data other than the bank identification number (BIN) is fully encrypted across the entire transaction flow from the PIN-pad to the processor/acquirer, where it is decrypted with keys only known to the processor/acquirer. The majority of large merchants have completed the certification process and are starting to implement it across their outlets.

CIT 2009


bolacit2009El CIT (Congreso Internacional de Tarjetas) es la cita anual imprescindible del sector financiero de Medios de Pago y el de otros entornos civiles y militares en los que se utilizan tarjetas (transporte, fidelización, sanidad,…).

Se celebra en Madrid y este año, la edición doudécima,  tiene lugar el 10 y 11 de Marzo de 2009, en el mismo lugar que en las pasadas ediciones: el Palacio Municipal de Congresos Campo de las Naciones.

Hay un sitio web específico para este evento y un blog que permite una comunicación más informal con el sector de Smart Cards, Identificación y Medios de Pago.

El Congreso se describe en este folleto CIT 2009, y las sesiones libres de Expo CIT en el folleto Expo CIT 2009.